生成AIアプリで4社に1社で事故発生か 「エージェント型AI」の危険度を探る：特定ユースケースは「ノーゴーゾーン」扱いすべき

ガートナーは、2028年までに企業向け生成AIアプリケーションの25%が、年5件以上のセキュリティインシデントを経験するとの予測を発表した。情シスリーダーが今すぐ設定すべき「ガードレール」と警戒すべき領域とは。

[TechTargetジャパン]

　「AIに業務を任せるのはいいが、管理の届かない場所で勝手に動かれたらどう責任を取ればいいのか」――。現場の熱狂とは裏腹に、情報システム部門リーダーの不安は募るばかりだ。ガートナーの最新予測は、その懸念が数年以内に現実のものとなることを物語っている。

　2028年までに、企業向け生成AIアプリケーションの4社に1社が、年間5件以上のセキュリティ事故を経験するというのだ。かぎを握るのは、自律的に動く「エージェント型AI」の台頭と、「Model Context Protocol（MCP）」の普及である。利便性を優先するあまり見落とされがちなセキュリティの「死角」をどう埋めるべきか。ガートナーが提唱する「ノーゴーゾーン（立ち入り禁止領域）」の定義と、組織を守るための具体的な防衛策を明かす。

どのような事故が起きるのか

併せて読みたいお薦め記事

• 情シスには見えていないAIエージェント？　情シスが「禁止」を捨てて「共存」を選ぶべき理由
• AIで守るのか、AIを守るのか――RSAC 2026が映し出したセキュリティの混迷

　ガートナーの予測によれば、企業向け生成AIアプリケーションの軽微なセキュリティインシデントの発生率は、2025年の9%から2028年には25%へと急増する見込みだ。さらに深刻なのは重大なインシデントの発生率で、2029年までに、全ての企業向け生成AIアプリケーションの15%が、年間少なくとも1件の重大事故を経験すると予測されている。これは2025年の3%から5倍に跳ね上がる計算だ。

　リスク増大の背景には、組織がエージェント型AIの構築や統合を加速させている現状がある。特に「Model Context Protocol（MCP）」などの技術を用いる際、未成熟なセキュリティプラクティスがリスクエクスポージャ（危険にさらされる資産）の大幅な増加を招くという。

利便性を優先した「MCP」の落とし穴

　MCPは、AIエージェントの相互運用性や開発の柔軟性を最優先に設計されている。しかし、ガートナーのバイスプレジデントアナリスト、ベン・ロード氏は「MCPはデフォルトでセキュリティを強化するものではない」と指摘する。

　設計の主眼が開発スピードにあるため、通常の利用環境であっても設定ミスや誤りが表面化しやすい。特にエージェントが「機密データへのアクセス」「信頼できないコンテンツの取り込み」「外部との通信」という3つの要素を同一フロー内で行う場合、情報持ち出しのリスクが極めて高くなる。ガートナーは、これらの要素が組み合わさるユースケースを「ノーゴーゾーン（立ち入り禁止領域）」と定義し、強い警戒を呼びかけている。

情シスリーダーが講じるべき4つの防衛策

　増大するリスクに、ガートナーはソフトウェアエンジニアリングやIT部門のリーダーに向けて、以下の対策を推奨している。

• 厳格なセキュリティレビューの実施

MCPのユースケースで正式なレビューを行い、高リスクな組み合わせを明示的に除外する。

• 低リスクパターンの優先

最初から高機能なエージェントを狙わず、安全性が確認されているパターンから導入を進める。

• エージェント特化の認証・認可

ユーザー権限をそのまま流用するのではなく、エージェント型AIのために設計された強固な認証プラクティスで補強する。

• 既知の脅威パターンの緩和

コンテンツインジェクション（悪意ある命令の注入）やサプライチェーンの脆弱性、不適切な権限昇格など、既知の攻撃パターンを事前につぶしておく。

「ドメイン専門家」によるガードレール構築

　セキュリティ対策を大規模に機能させるには、IT部門だけで完結させないことが重要だという。ガートナーは、各業務分野の「ドメイン（特定分野の）専門家」がMCPサーバのオーナーとなり、ガードレールを定義することを提案している。

　AIエージェントが複雑化するほど、一元的なデータ管理やコンプライアンスの維持は困難になる。だからこそ、現場の業務とデータに精通した専門家が、AIに許可するアクセス権限やリソースを事前に規定し、「デフォルトで安全」な状態を逆算して作り上げる必要があるとしている。